Назад | Перейти на главную страницу

Дизайн DNS-хостинга - не следует ли вторичный сервер распределять по странам, сетям и т. Д.?

У моего регистратора DNS и поставщика DNS недавно произошел длительный сбой, в результате чего все мои домены стали непригодными для использования (электронная почта, собственные + клиентские веб-сайты и т. Д.).

У них есть 3 DNS-сервера, которые все находятся в одном совместном хостинге!

Я знаю о сетевых технологиях ровно достаточно, чтобы заставить мое паучье чутье надуть, но недостаточно, чтобы осуждать это. Разве это не ужасный замысел?

Разве они не должны были быть распределены по линиям, сетям - даже континентам?

(Источник: https://help.hover.com/hc/en-us/community/posts/115007805527-After-recent-outage-what-are-you-going-to-do-to-fix-your-network-design- проблемы-)

Не придавайте веса регистрации гео-IP только потому, что такая служба, как hover (вероятно, плохой пример) или cloudflare (идеальный пример), имеет небольшой список IP-адресов, не указывает на масштаб.

Например, 8.8.8.8 объявляется в bgp через anycast для многих точек присутствия (PoP), в то время как для вас это единственный IP-адрес и, следовательно, единственная точка отказа, что не указывает на всю историю.

Изучение этих IP-адресов специально с помощью lg.he.net hover этого не делает.

Чтобы ответить, да, они должны были, нет, они этого не сделали, но наличие трех серверов имен не обязательно является проблемой.

Кроме того, у Google есть 4 сервера имен, каждый из которых имеет собственный / 24 anycast, завернутый в одноадресную рассылку / 23 для восстановления сети.

Вот пример Google первый сервер имен, ns1.google.com

Теперь посмотрим на ns1.hover.com

Ой, не очень хорошо, hoover может иметь (2) маршрута к одной сети, в то время как у Google, вероятно, есть несколько маршрутов к нескольким PoP с одним и тем же объявленным IP.

Я бы посоветовал изучить cloudflare, NS1 или одну из многих других ... Multi-Vendor и / или запустить свои собственные ведомые устройства, если зона действительно важна для вас.

Не вдаваясь в подробности настройки этого конкретного оператора (с которой я не знаком), ответ на общий вопрос ясен.

DNS имеет долгую историю проектирования с учетом избыточности (протокол имеет встроенные средства для синхронизации данных зоны между серверами, несколько авторитетных серверов имен изначально поддерживаются простым добавлением нескольких записей NS, большинству реестров требуется как минимум два сервера имен при делегировании ваших полномочий. зарегистрированное доменное имя и т. д.).

Также давно установившейся передовой практикой является разнообразие среди ваших авторитетных серверов имен как в отношении географического положения, так и топологии сети.

Примером этого является RFC2181 - Выбор и работа вторичных DNS-серверов (он же BCP16 с момента получения Лучшая текущая практика status), документ от 1997 года специально по этому поводу.

Раздел о Выбор дополнительных серверов (то есть, каким должен быть полный набор авторитетных серверов имен) в этом документе говорится:

3.1. Выбор дополнительных серверов

При выборе вторичных серверов следует обращать внимание на различные вероятные режимы отказа. Серверы следует размещать таким образом, чтобы была вероятность того, что хотя бы один сервер будет доступен для всех значительных частей Интернета в случае любого вероятного отказа.

Следовательно, размещение всех серверов на локальном сайте, несмотря на простоту организации и управления, не является хорошей политикой. В случае сбоя одного канала, сбоя питания на сайте или даже в здании или помещении такая конфигурация может привести к отключению всех серверов от Интернета.

Вторичные серверы должны быть размещены как в топологически, так и в географически удаленных местах в Интернете, чтобы свести к минимуму вероятность того, что единичный сбой приведет к их отключению.

То есть вторичные серверы должны находиться в географически удаленных местах, поэтому маловероятно, что такие события, как потеря питания и т. Д., Нарушат их работу всех одновременно. Они также должны быть подключены к сети различными путями. Это означает, что отказ любого одного канала или маршрутизации в каком-либо сегменте сети (например, у поставщика услуг) не сделает все серверы недоступными.


Выше приведены рекомендации по развертыванию DNS в целом.
Очевидно, что придется несколько скорректировать ожидания в зависимости от ситуации, но когда дело доходит до крупномасштабного развертывания, осуществляемого компанией, которая использует эти услуги как часть своего основного бизнеса, вышесказанное действительно имеет смысл.